|
本期导读 |
5月21日至5月31日,NeyEye在全国八家城市开展一年一度的巡展活动,此次活动是继东软4月11日在京举办的以“技术创新缔造客户安全”为主题的东软NetEye系列新品发布会后又一重大推广活动。
为了进一步扩大东软网络安全产品在全国范围内的影响,我们将先后在上海、西安、宁波、长沙、武汉、成都、昆明、福州八大城市,向当地行业用户及合伙伙伴推广东软全新的NetEye网络安全产品及相关解决方案。还将与各地合作伙伴进行从技术到销售等全方位的交流,并适时发展潜在合作伙伴,拓展东软在网络安全产品领域的渠道。同时,借助此次机会,向业界全面介绍东软日趋健全成熟的网络安全服务体系,并启动东软服务质量年。
今年1月,我们把原先的服务部门升级为产品服务中心,旨在加强对全国NetEye产品用户及合作伙伴的全面技术支持和服务。产品服务中心在北京、上海、广州、成都、武汉、西安等三十余个分支机构设立NetEye产品服务工程师,提供覆盖全国的支持与服务。利用遍布全国的分支机构,东软可以提供全国范围内的一周七天、一天二十四小时的现场支持。针对重点防火墙用户,东软股份还可以组织专门的技术支持与服务小组,提供及时优质的技术咨询、技术培训、技术实施、技术支持、维护支持等综合服务。
关心客户需求 提供及时高质量的服务
“流过滤”的技术优势及其在NetEye Firewall 3.1中的表现
由于其各自的优缺点,状态检测包过滤和应用代理技术正在形成一种融合的趋势。目前,许多防火墙是集成这两种技术的混合型产品,实际上并不能真正结合两者地优点。
·"流过滤"与"状态检测包过滤"的比较
状态检测包过滤包过滤防火墙中的数据包内容过滤仅能对当前正在通过的单一数据包的内容进行分析和判断,因此不能实现对应用层地保护。
再让我们来看一下,应用代理是如何实现这种功能地呢?原来它借助操作系统的TCP协议栈,对于出入网络的应用数据包,进行了完全重组,并从操作系统提供的接口(socket)中,以数据流的方式提取应用层数据。
那么流过滤技术(基于状态检测技术)又是如何实现对应用层的保护呢?在"流过滤"架构中,实现了一个专用TCP协议栈(是标准的TCP协议栈),然后依据TCP协议的定义,对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,因此可以有效的识别并拦截应用层的攻击企图。
·"流过滤"技术与"应用代理(网关)"技术的比较
主要区别表现在两个方面,第一、透明性比较。我们知道应用代理的最大缺陷就是无法实现对应用层的透明的保护。流过滤结构,可以在防火墙的任何部署方式下提供完全一致的应用保护能力,比如用户在一个已有的提供Web访问的服务器群中又增加了一个Web服务器,并且使用IIS,那么用户仅需要在防火墙上增加一条针对IIS漏洞的应用过滤规则即可以达到对该服务器的保护的目的,而服务器本身则完全不需要考虑防火墙的存在。因此用户不需要为了获得应用层保护能力而改变网络结构和应用系统,甚至当用户改变防火墙的运行模式时,也完全不需要调整应用层的保护策略(过滤规则),它会与原来完全等同的效果去执行。
第二、性能比较。
应用代理对于任何一个通过防火墙的连接都必须消耗两个socket资源,这个资源在普通操作系统中是非常紧缺的,通常只能允许同时处理一、两千个并发的连接。同时,典型的代理系统需要为每一个连接创建一个进程,当几千个连接存在时,大量的进程会消耗掉非常多的内存,并使CPU在上下文切换中浪费掉大量的处理资源,系统的吞吐能力会急剧下降。
流过滤结构中的TCP协议栈是专为防火墙的进行数据流转发而设计的,其在数据分析过程中的拷贝次数、内存资源的开销方面都优于普通操作系统的TCP协议栈。而且它不使用socket接口,而是采用了一种事件驱动的内核接口,一个内核进程可以使用很小的开销同时处理几万甚至几十万的并发连接。流过滤防火墙可以在非常繁忙的站点提供有效的应用层保护。
·NetEye Firewall 3.1中的流过滤技术优势的表现
1.保证了透明方式下从数据链路层到应用层的完全高性能过滤。
2.用户可以通过简单的下载、升级模块,达到对新的复杂应用的支持。实现了应用级插件的及时升级,攻击方式的及时响应,可以动态的保障网络安全。
3.在流过滤构架上集成的VPN功能,虚拟通道的设置简单、人性化,有效的提高了VPN的部署灵活性、可扩展性。大大降低了VPN部署、维护的成本。
4.基于结构中专门的TCP协议栈,优化了对协议的处理,性能接近线速,具有高吞吐量、低延迟、零丢包率级缓冲能力强大的特点,千兆版本能够利用多处理器的能力处理超过20万的并发连接,完全满足高速、对性能要求苛刻网络的应用。more
NetEye IDS 2.0--NetEye新品中的一颗璀璨的明珠
在,4月11日推出的NetEye系列新品中,NetEye IDS 2.0v象一颗明珠一样闪闪发光、引人注目。用下面这句话来描述其创新性,最恰当不过了:独创的数据包截取技术对网络进行不间断的监控,扩大网络防御深度;先进的基于网络数据流的智能分析技术,实时判断来自网络内部和外部的入侵企图,进行报警,响应和防范。
·首先让我们来看看它配合完美的体系结构
它采用客户/服务器结构,由检测引擎和管理主机组成。检测引擎和管理主机之间通讯采用128位加密。检测引擎为黑洞式结构,监测口不需IP地址,攻击者无法发现,具有高度安全性和隐蔽性。
检测引擎是一个高性能的专用硬件,运行安全的操作系统,对网络中的所有数据包进行记录和分析。在重组网络数据流的基础上,根据规则判断,统计分析是否有异常事件发生,并及时报警和响应。同时记录网络中发生的所有事件,以便事后重放和分析。
管理主机,使用加密通道和检测引擎安全通信,可以查看分析一个或多个检测引擎,进行策略配置,系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。
·它最另人注目的技术主要表现在以下的三各方面
·高效独特的数据截取技术
直接从内核接收网络数据,减少中间环节,缩短了系统调用时间,从而提高截取网络数据包的速度和效率,系统运行效率高,可以监测高速网络,丢包率极低。把网络连接作为数据流分析,而不是一个个孤立的数据报。根据数据流智能重组,轻松处理分片和乱序数据包。
·实时的入侵响应
系统拥有入侵事件及入侵模式数据库,可以匹配1000多种网络入侵和攻击行为。系统漏洞、系统后门、CGI漏洞、系统扫描、缓冲区溢出攻击等各种危害系统的入侵和攻击都可轻易识别。并可很容易的升级。即时报警,实时展示入侵行为,并做出反应。系统在管理器中加入了实时报警装置,网络中发生入侵事件时,系统会立即在管理器中反应出来,并可采取防范措施,例如,切断攻击连接。而邮件报警则保证管理员不在管理器前仍可快速发觉网络中的异常情况。
·支持多种常用协议的重放
系统还可以重放对网络应用层上的协议进行操作,目前,其实现的主要协议有:SMTP、POP3、TELNET、FTP、HTTP及自定义协议。管理员可以很直观地看到任何人的信件内容(包括附件)、TELNET或者FTP用户所作的操作、都去过哪些网站和看过哪些内容(包括文字和图片的再现)。more
近来,屡屡传出某某知名网被黑,使得我们开始或者更多的考虑到防火墙。那么为何必须要防火墙才能实现网络的安全呢?我们知道,一些操作系统可以支持简单的包PPTP过滤,但是如果不使用其他软件,它无法支持网络地址翻译或应用代理服务。另外,一般来说它的TCP/IP栈没有为预防畸形包进行完全的加固。操作系统不是设计用来作为防火墙的;更应该说它是设计用来追求更高的网络性能的。防火墙必须对每以个接收到的TCP/IP包进行一致性检查,这要求相当大的计算量,这样的计算量对于一台负载沉重的服务器来说太多了。这就是为什么防火墙应该被单独设置在专用的机器上的原因。
如果你在网络安全知识方面有自己的见解、看法;或者对我们的NetEye产品有兴趣;或者你对NetEye安全月刊的改进意见;以及订退本刊;企盼来信给以指正、探讨。欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com